Purecut

Web Sites oder Internet?

Schau mal hier: http://technet2.microsoft.com/WindowsServer/de/Library/5084a49d-20bd-43f0-815d-88052c9e2d461031.mspx und hier: http://technet2.microsoft.com/WindowsServer/de/Library/83347346-54d4-4963-8a4a-370a127fb3751031.mspx Da ist es gut erklärt was dann noch angebunden werden kann.

Richtig. Wenn Das deine Firefall unterstützt ist da wohl die sauberste Lösung. (Kann das meine überhaupt.. muss mal flux kramen, wäre interessant zu wissen)

Ich denke mal Du hast ein Benutzerzertifikat installiert. Was Du aber benötigst für IPSec/L2TP ist ein Computerzertifikat. 1. Öffne über eine leere MMC. Unter Aktionen sagst du Snap-In hinzufügen und wählst "Zertifikate" aus. Bei der Auswahl welche Art von Zertifikat wählst du zunächst "Benutzerkonto". Dann fügst du wieder das Snap-In "Zertifikate" hinzu und klickst jetzt NICHT Benutzerkonto sondern "Computerkonto (lokales Computerkonto)" an. Jetzt hast du in der MMC zwei Snaps. Computerkonto & Benutzerkonto. Speicher diese neue MMC unter einem neuen Namen ab und öffne diese dann. 2. Gehe in der neuen MMC unter Computerkonto --> Eigene Zertifikate. Die Ansicht der MMC sollte auf "Logische Zertifikatsspeicher" stehen Ansicht --> Optionen --> Logische Zertifikatsspeicher. 3. Klicke mit der Maus auf "Eigene Zertifikate --> alle Task --> neues Zertifikat anfordern" 4. Ein Wizzard öffnet sich. Klicke --> Weiter" --> Wähle "Computer" aus --> Klicke "Weiter", trage die benötigten Informationen ein und dir wird von der CA ein Zertifikat ausgestellt. Danach ist das Computer Zertifikat in deinem Speicher an der richtigen Stelle. Dann probiere nochmals eine Verbindung.

Und wenn die deine 2. HD im Koffer filzen hast du wieder ein Problem oder eine Notebook weniger. Oh man du mittlerweile armes Amiland!

Und wie installiere ich dann den Windows 2003 Server in der virtuellen Maschine. Ich möchte das dieser halt kein DC ist sondern dann lediglich ein Memberserver in meiner Domäne. Memberserver? Wo trage ich denn den Memberserver in meiner DC ein? autsch..

Das interessiert mich auch. Geht das über ne MySQL DB?

Ohne groß nachzudenken würde ich folgendes machen. Die beiden Clients in eine gesondert OU und eine GPO erstellen, da dass diese die Netzwerkeinstellungen und andere Netzwerktools nicht benutzen können. Dann den Clients eine IP vom DC DHCP zuteilen. In den DHCP Bereisoptionen diesen Clients ein Gateway zuteilen, welches es in deinem Netzwerk nicht gibt. Dann können die Clients nicht nach draußen aber interne Seiten über deinen WEB Server aufrufen. Man könnte den Clients aber auch ein Gateway zuteilen, welches dann auf eine interne Adresse geroutet wird z.B. wieder den internen WEB Server mit einer eigens dafür vorgesehenen 404 Seite. Ob man Clients per GO so einfach den Zugang nach außen entziehen kann weiß ich nicht.

Wenn mich nicht alles täuscht dann kannst du aber ohne Active Desktop nur bmp bilder nutzen. Bei eingeschaltetem Active Desktop gehen dann auch jpg etc. Muss sich das Wallpaper auf der eigentlichen Maschine befinden oder kann es sich auch auf einem Server Share für sowas befinden?

Dazu möchte ich mal etwas genaueres wissen. Wenn ich einen Windows 2003 Enterprise Server habe (der 4 Virtual Server Lizenzen beinhaltet, wenn ich mich nicht täusche) wie gehe ich dann vor? Downloade ich mir von MS den Virtual Server 5 RC2, installiere den auf meinem Windows 2003 Ent. Server und in meinem Virtual Server installiere ich dann wieder meine Enterprise Edition, so dass ich dort dann den Terminal Server benutzen kann? Ich habe dies noch nie gemacht und bin mir über den Ablauf nicht sicher. Was ich machen möchte ist auf dem Windows 2003 Server Entp. Ed. einen Virtual Server aufsetzten, um dort einen Terminalserver betreiben zu können. Wer klärt hier mal mein Gehirn

Bin im Moment überfragt, da ich momentan keine W2K Maschine im Zugriff habe. Gibt es das überhaupt bei W2K an dieser Stelle? Bei XP ja.

L2TP funktioniert ausschließlich mit Computerzertifikaten. Installierte Benutzerzertifikate spielen da keine Rolle.

4GB. Das sollte doch für eine simple Auftragsbearbeitung reichen. Festplatten sind auch super schnell. SCSI U320. Mehr soll auf dem Server schon nicht mehr passieren. Alle anderen Anwendungen laufen lokal. Die User speichern dann Daten auf Serverfreigaben. Sind ja per VPN angemeldet.

Könntest Du mir bitte dies einmal für einen Windows 2003 DC genau erklären. Ich blicke immer noch nicht durch welche Policy für alle Domainmitglieder angewendet wird, wenn man keine extra Policy erstellt hat. Wird man: start --> Progamme --> Verwaltung --> Group Policy Management --> Domänen --> Domänen_Name --> Gruppenrichtlinienobjekt --> Default Domain Policy verwendet? Hier kann ich dann auch spezielle Policy's erstellen (die immer als Grundlage der "Default Domain Policy" tragen und diese dann speziell für die Gruppe anwenden - richtig? Wo zum Teufel liegt denn dann der Unterschied zwischen "Gruppenrichtlinie für Domänen" und "Gruppenrichtlinie für Domänenkontroller"? Danke für deine hoffentlich folgende Erklärung

Hallo Gemeinde Ich stelle mir hier eine Aufgabe und möchte diese an meinem System einmal durchspielen. Es besteht ein Windows 2003 Server Ent. Edition. Auf dem sind die Terminal Dienste, Lizenzserver etc. installiert und aktiviert. Ich habe den Terminal Server auf den DC installiert, da ich keine anderen Rechner zur Verfügung habe und auch der Kunde später keine Mittel hat um einen zusätzlichen Memberserver für den Terminal Server zu kaufen. Also ist der DC auch Terminal Server (wenn jemand eine andere Lösung her möge er sprechen ;-) Es geht mir um das reine Verständnis der Dinge und Konfiguration. Terminalserver stellt Programme für den Remote Zugriff zur Verfügung - ok. Also installierte ich die 2 Programme, die benötigt werden unter dem Terminal Server. Wenn sich nun ein User per RD an den TS anmeldet (und so wie ich das verstanden habe ist der RD die einzige Möglichkeit sich an einen TS anzumelden), dann meldet er sich zunächst an das OS Windows 2003 an. Auf dem erscheinenden Desktop sieht er ja dann alle Punkte, die ein normaler Admin auch sehen würde. Das darf aber auf keinen Fall sein. Bedeutet das für mich das ich z.B. für den TS User eine OU anlege, dort eine GPO erstelle und so den Desktop so dicht mache, das er nur noch die unter dem Terminal Server installierten Programme aufrufen kann und sonst keinen Zugriff auf andere Dinge erhält? Das bedeutet ich müsste für den TS ein Profil erstellen etc. Wenn der TS auf einer anderen Maschine laufen würde könnte ich auch ruhiger schlafen, aber das ist nun mal nicht der Fall und ich muss den Desktop bzw. den User so einschränken, dass er keinen Unfug anstellen kann. Der User würde sich per VPN einwählen. VPN Server wäre in diesem Fall ein Router. Der User authentifiziert sich gegenüber dem Router mit Zertifikaten und zusätzlich nochmals mit xauth. Die Terminal Dienste sollten von max. 2 Usern benutzt werden - nicht mehr.

Genau das funktionierte nicht. Dann schrieb der Radius im Log unbekannte Authentifikationsmethode (der Radius ist so eingerichtet, dass nur EAP in Verbindung mit Smartcard oder Zertifikat in Verbindung mit 802.1x erlaubt ist) So sieht jetzt ein erfolgreicher Event-Log bei einer WLAN Einwahl aus: Ereignistyp: Informationen Ereignisquelle: IAS Ereigniskategorie: Keine Ereigniskennung: 1 Datum: 28.01.2007 Zeit: 14:24:59 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: Benutzer "host/xxxx.xxxx.local" wurde Zugriff gewährt. Vollqualifizierter Benutzername = xxxxx.local/Computers/xxxxx NAS-IP-Adresse = 10.0.0.50 NAS-Kennung = NETGEAR_WG102 Clientanzeigename = Netgear_WG102 Client-IP-Adresse = 10.0.0.50 Kennung der Anruferstation = xxxxxxxxxxx NAS-Porttyp = Wireless - IEEE 802.11 NAS-Port = 1 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierungsserver = SERVER Richtlinienname = Wireless Lan Policy 1 Authentifizierungstyp = EAP EAP-Typ = Smartcard oder anderes Zertifikat

@IThome Danke

Ah vielen Dank. Dann könnte ich aber auch direkt einen managebaren Switch kaufen bei dem ich dies alles einstellen kann. Die Dinger von Netgear kosten doch auch nicht mehr die Welt.

Das passiert nur, wenn du nicht "Ständige Verbindung" im Profil aktiviert hast.

Hallo Ich habe mich mit dem Problem mehr als lange genug auseinandergesetzt. Was mir aufgefallen ist, ist das die Windows WLAN Verwaltung keine WPA2/AES in Verbindug mit Zertifikaten ermöglicht (oder ich habe da was übersehen). Weiterhin bracht die WLAN Verbindung zeitweise ohne jeglichen Grund ab (darüber klagen auch andere User). Also habe ich es mit der Proset Software von Intel dann versucht. Bei der Installation der Software sollte man sich zunächst einmal die neuste Version ziehen, da ältere Versionen von Intel für alle Karten erhebliche Sicherheistlöcher haben. Dies wurde erst in den letzten Releases behoben. Dann installiert man die Proset Software "Benutzerdefiniert" und klickt bei den Installatiosnoptionen folgende Punkte an: WLAN Adaptertreiber, Proset/Wireless, Problemhilfe, Einmalanmeldung, Voranmeldung, Admin Toolkit. Nach der Installation öffnet man die Software und klickt "Extras --> Administrator-Tool" an. Dort erstellt man ein "Ständig & Voranmeldung/Standard" Profil. Wenn man ein neues Voranmeldung/Standard Profil erstellt kann man diesem auch zuweisen, das es für die "Ständige Anmeldung" ebenso gültig ist. Dann muss man nicht 2 x das gleiche tun. Alles weitere ist selbsterklärend. Dieses erstellte Profil läd man dann auf den Adapter und gut ist. Das erstellte Profil ist dann für alle Benutzer gültig und wird als erstes nutzbares Profil verwendet, wenn bereits User ihr eigenes Profil erstellt haben sollten. Somit klappt die Anmeldung in eine Domäne wunderbar und ohne Fehler. Auch hier gilt nicht das Sicherheitskonzept für die Domäne zu beachten. Zuvor Benutzergruppe anlegen, wer sich überhaupt so anmelden darf, ebentuell Radius Dienst installieren etc. Die Intel Software stellt ja nur eine Netzwerkverbindung vor der eigentlichen Anmeldung her. Wir haben das hier so gemacht, das nichts ohne Zertifikate läuft. Das heißt der User wählt sich in einen Access Point ein, dieser steht in Verbindung mit einem Radiusserver. Dort eine OU anlegen mit Richtlinie etc.

Jetzt bin ich aber neugierig. Genaueres bitte. Wie geht denn das? Kann man dazu z.B. auch einen USB Stick benutzen? Nu leg mal los :wink2: Gruss Purecut

DHCP --> Eigenschaften --> DNS --> Haken bei letzten Eintrag setzen (DNS-A und RTP Einträge für DHCP Clients, die keine ....) Bezieht nun ein Client aus dem DHCP eine IP kann wird diese dann automatisch in den DNS eingetragen und verwaltet.

Wie sieht es mit den Netbios Port aus. Sind die freigegeben für VPN. Läuft auf dem Server WINS? Bezieht die VPN Verbindung eine IP vom Server? Etwas genauer bitte.

@Notarzt Könntest du mir denn bitte einmal ein Beispiel aufzeigen wie ich die Subnetze richtig einteilen sollte. Server sollen aus dem Bereich 10.10.1.x kommen (könnte so bleiben wie es jetzt ist 10.10.1.1) Clients aus dem Bereich 10.0.x.x Netzwerk Drucker und anderes Netzwerk Gerät sollten aus dem Bereich 10.0.0.x kommen bei 5 Abteilungen a 10-30 Clients Vielen Dank

Welchen VPN Client setzt ihr denn ein? Wie ich bereits schrieb tritt diese Verhalten nur bei wechselnden VPN Verbindungen auf den Schnittstellen auf.